Captcha abfrage via AJAX = Ja & Nein ?

[mr_arrogant]

Ich wollte mal so in die Runde Fragen was ihr von einer Captcha Abfrage via AJAX haltet ?
Im Prinzip ist es ja nicht anders als beim PHP Script auch, es werden alle Forumlardaten übergeben und dann findet die Abfrage statt, mit Ajax übergebe ich auch alles via Form.serialize().
Ich habe nämlich Testweise mal sowas in die Anmeldung meines Forums implementiert, ist halt Praktisch da ich sonst auch alle Felder mittels Javascript prüfe.

Ich frage das hier nur, weil ich es bisher noch bei "keiner" Formular übergabe, wo ein Captcha eingebunden war, gesehen habe.

 

[Sven Mintel]

Naja, deine Forumsanmeldung soll ja sicher auch ohne JS funktionieren...ich für meinen Teil würde da eher darauf verzichten, alles doppelt zu skripten.
Das einzige, was ich da evtl. per AJAX machen würde, wäre ein Prüfung, ob Benutzername oder Mailadresse bereits verwendet werden.

 

[mr_arrogant]

Ola`,
ja also den Benutzernamen und auch die E-Mail Adresse prüfe ich sowieso, und anbei ja dann auch den Captcha-Code. Da man für die Webseite "sowieso" Javascript braucht, ist es daher auch schon bei der Anmeldung egal ob man dort JS nutzt oder nicht.

Trotzdem Danke für das Posting

 

[Gumbo]

Die Frage ist nicht ob es mit Ajax möglich ist sondern ob es nicht die Sicherheit untergräbt, die du mittels Captcha zu erhöhen versucht.
Wenn die Captcha-Validierungsanfrage lediglich ein wahr oder falsch zurückliefert, das dann im Formular in einem versteckten Element hinterlegt wird, ist das Captcha sinnlos. Denn dann kann dieser versteckte Formularwert auch gleich verändert/gesetzt werden.
Wenn aber die Captcha-Validierungsanfrage auf dem Server etwa ändert (beispielsweise einen Sitzungswert), sieht die Sache schon anders aus. Dennoch sollte eine clientseitige Validierung niemals eine serverseitige ersetzen. Und sicherheitsrelevante schon gar nicht.

 

[mr_arrogant]

Genau so eine Antwort wollte ich haben, nämlich die des Aspektes der Sicherheit - möglich ist es ja - das stand ja nie zur Debatte

Ich mache es so das ich keinerlei Werte in irgendwelchen Hiddenfeldern abspeichere.
Momentan wird erstmal nur abgeglichen ob der eingegebene Captcha Code mit dem aus der Session Übereinstimmt. Zeitgleich wird bei jeder falschen Validierung ein Wert in der Session zu der IP des Besuchers hochgezählt und das Formular neu geladen - wobei die eingegebenen Werte in den Feldern bestehen bleiben. Erreicht der Counter in der Session einen bestimmten wert wird die IP für 30min gesperrt, unglücklich für Subnetze in Firmen, aber sich bei sowas auf Cookies zu verlassen ist Sinnlos.

Prinzipiell ist die Logik der Server basierten Variante nicht anders der Client Seitigen, von daher sehe ich den Aspekt eines Sicherheitsrisikos eher weniger.